科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道捕获欺骗性威胁的秘诀

捕获欺骗性威胁的秘诀

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

然监测欺骗性威胁相当容易,但是消除这些欺骗性威胁却是出乎意料的艰难。本文中TechTarget中国的特约专家系统地描述了一种捕获欺骗性威胁的过程和工具,可以提供一定的帮助。

来源:TechTarget中国 2008年10月30日

关键字: 欺骗性威胁 IP欺诈

  • 评论
  • 分享微博
  • 分享邮件

  处理欺骗风险

  发现未授权的接入点(AP)或者站点是非常普遍的,这些所谓的欺骗性威胁可能是来自邻居、销售商、客户、雇员或者恶意攻击者。处理这些欺骗性风险要求识别到信任的设备,这样你就可以减轻他人带来的威胁。由于无线攻击者可以迅速地造成破坏并转移,所以有必要对所有的新设备进行监测,并迅速作出反应。

  然而,在大型的无线局域网中有效地处理欺骗性风险也是很重要的。用诸如NetStumbler之类的发现工具,对办公室进行抽查,这样需要太长的时间,并且没有作任何评价,也不会包含每个欺骗性威胁的潜在影响。

  高效率的风险处理需要用带有无线入侵监测系统(WIDS)的24x7无线电进行监测。这可以用无线局域网交换器实现,该交换器可以进行兼职扫描(比如,Airespace和Trapeze);或者用专用的WIDS实现,该WIDS可以进行全职扫描(比如,AirDefense、AirMagnet、AirTight、Highwall、Network Chemistry)。一个良好的欺骗性工具包应当可以做比发出警报更多的事情——它可以让你有权力调查欺骗性威胁、隔离欺骗性物理地址、以及(在适当的时候)干扰欺骗性通信进行。

  为了协助消除欺骗性威胁,你的工具箱也应该包括一个移动的无线局域网分析器。这些分析器可以从大部分WIDS经销商、WildPackets、TamoSoft和BVS等的第三方那里购买到,也可以从诸如Kismet和Ethereal等开源工具中获得。为了减少站点的压力,可以寻找输入/输出性能,让这些工具与你的WIDS共享数据。

  消除欺骗性威胁的策略

  既然你已经收集了合适的工具,那么接下来就应该制定一套有条不紊的方案来处理欺骗性威胁。这里列出了你的方案中应该包含的一些步骤:

  内容摘要:不论你的公司是否运行或禁止的Wi-Fi,未经授权的“欺骗”访问点或者站点可能已经拜访了你的办公室。大多数WLAN的用户将消除欺骗性威胁列为重中之重。虽然监测欺骗性威胁相当容易,但是消除这些欺骗性威胁却是出乎意料的艰难。本文中TechTarget中国的特约专家系统地描述了一种捕获欺骗性威胁的过程和工具,可以提供一定的帮助。

  对现有的802.11设备进行调查——接入点、站点和点对点结点——用移动WLAN分析器浏览你的站点。每隔一定时间记录样本(例如,在建筑角落的每隔200英尺)。合并样本,记录每个设备的MAC地址、扩展服务集标识符(ESSID)、平均/峰值信噪比(SNR)、信道、安全状态和IP地址。站点可能会使用许多ESSID和信道,并依赖与之相关的接入点。为远程邻居建立一个入口,然后使用移动分析器,用你办公室内部和紧邻的足够强大的信号追踪设备。尽力用足够的精度确定可能的拥有者和地址,进而进行分类。

  2.对所有发现的设备进行分类,并配置工具

  过滤目录,将其分为几个类别,通过不同地处理一些访问控制列表中的设备和安全警报策略,这样你就可以集中精力处理真正的威胁。虽然,你可能会让WIDS忽视了远程邻居,但是需要提醒你,注意设备和近邻之间的连接。无论移除还是将其标记为你的官方无线局域网的一部分,消除你办公室内部未经授权的设备。然后创建一个授权的接入点和站点列表,进而执行这些设备的策略。比如,对可能指示偶然重置或者MAC欺骗的接入点设置进行监测。现在,准确的分类可以大大节省调查研究的时间。

  3. 监控新设备的无线网络和有线网络

  安装无线入侵检测系统,可以对你的无线局域网覆盖区进行略微监测,发现邻近或者外部的欺骗性威胁。WIDS不能监测到的小型或者远程办公室可以用移动分析仪进行随机抽查。如果你拥有无线IDS/IPS或者网络管理系统,也可以对它们进行配置,对欺骗性威胁进行监测——比如,防止未经授权的MAC使用你的以太网交换机,或者侦查接入点无线局域网中的意外广播。最后,配置WIDS和移动分析仪警报装置,这样你就不会被误报所淹没。举例来说,WIDS自动对有线交换器的连通性进行跟踪,这样您就可以集中精力处理网络连接的欺骗威胁。

  内容摘要:不论你的公司是否运行或禁止的Wi-Fi,未经授权的“欺骗”访问点或者站点可能已经拜访了你的办公室。大多数WLAN的用户将消除欺骗性威胁列为重中之重。虽然监测欺骗性威胁相当容易,但是消除这些欺骗性威胁却是出乎意料的艰难。本文中TechTarget中国的特约专家系统地描述了一种捕获欺骗性威胁的过程和工具,可以提供一定的帮助。

  4. 阻止研究调查中的潜在损害

  考虑使用WIDS的“遏制”功能,自动检测欺骗性威胁或者调查研究后进行手动检测。尽管性能不同,但是通过在欺骗性威胁的MAC地址中针对解除认证洪水,接入点或者站点通常可以临时打开你的无线局域网。中止最近的以太网交换端口,通常就可以削弱接入点与网络之间的连接。当你追捕到欺骗性威胁时,虽然遏制功能可以阻止其来带的破坏,但是,它也可能是破坏性的。确保在使用之前,了解清楚这些功能可以干什么——尤其是自动遏制功能。比如,当连接到欺骗性接入点时,你可能很容易就会阻止你的站点。但是,避免阻止欺骗性威胁可能最终来自于你的邻居。

  5. 调查新设备,确定威胁

  收集证据,弄清楚欺骗性行为是否来自于邻居、访问者、雇员或者攻击者。甚至基本的性能都有帮助,比如SNR和ESSID。如果新的接入点看起来来自于隔壁的咖啡屋,那么打电话过去确认一下。除了连接性追踪,还要使用感应器或者移动分析仪捕获信息流,以确定欺骗性威胁使用的是哪个系统和应用程序。使用定位地图来预测欺骗性威胁的物理地址。虽然性能有所不同,但是,许多WIDS可以在平面图上突出显示某个区域,以减少搜索范围到20英尺,甚至更少的范围以内。

  6. 做出决定,并执行一个永久性措施

  使用你调查研究的成果,决定如何永久性处理欺骗性行为。虽然这涉及到政策、策略和进程,但是进行到此为止以及没有关于下一步工作的计划,这些将是毫无意义的。比如,在没有无知的雇员的允许下,你如何消除已经安装好的欺骗性威胁?如果一个恶意的欺骗性威胁已经留在了办公楼内,你如何保护自己,防止重复的运行该欺骗性威胁呢?如果这个欺骗性威胁是雇员所有的PDA,你是否有计划进行无线安全使用方面的教育呢?

  7. 更新你的设备清单,以反映出结果

  你已经采取了永久性措施来消灭欺骗性威胁以后,跟新设备清单以及相关政策,这样将来就可以正确处理设备。如果你在调查期间中止了欺骗性威胁,那么确定现在是否要撤销。如果你不能够发现欺骗性威胁,使用“审查名单”,以在短时间内加快以后的反应或者增强该办公室的监测力度。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章